問題タブ [ocsp]

私の知る限り、ここで言及されているように、ブラウザが特定の証明書の失効ステータスを確認するための主なテクノロジーは 2 つあります。それは、オンライン証明書ステータス プロトコル (OCSP) を使用するか、証明書失効リスト (CRL) で証明書を検索することです。 .

オンラインの OCSP サーバーまたは OCSP メソッドがいくつかあり、ブラウザーがそこに要求を送信して、受信した証明書が取り消されているかどうかを確認することは知っていますが、CRL についてはわかりません。

1. CRL はどこにありますか? OCSP 要求の後に更新されたシステム内のファイルですか、それとも接続しようとしている Web サーバー内のリストですか?
2. 誰が更新しますか？
3. OCSP サーバーは失効をどのようにチェックしますか? (取り消された証明書のデータベースをどのように更新するのでしょうか?)

certutil -urlcache crlコマンド ラインで使用すると、CRL のキャッシュを確認できることがわかっていることに注意してください。しかし、それはそれのキャッシュです！実際のファイルはどこにありますか?

Ubuntuでdirmngrサービスを使用しています。サービスを実行すると、ログ ファイルに次のエラーが表示されます。

また、デーモンを実行したときの出力は次のとおりです。

理由はありますか？

ありがとう。

これはちょっと絶望的…。

主に次の 2 つの例に基づいて、OCSP チェック サービスを実装しています : http://docs.ruby-lang.org/en/2.2.0/OpenSSL/OCSP.html

openssl クライアントを介して、リクエストの有効性を確認済みです。

これは私に与えます：

ruby の openssl api を使用すると、200 OK という肯定的な応答も得られます。

ただし、応答を確認したい場合は、

だからここに私が応答を確認しようとする方法があります:

証明書を二重に追加しようとすると、予想されるエラーが発生します。

これらの関数のソースを読むのが苦手なので、他にトラブルシューティングを行う方法がわかりません。これは私の質問につながります: 1.上記のハッシュテーブルの内容をダンプして分析する方法はありますか? 2.ここで明らかな何かが欠けていますか?

ご意見やご感想をお寄せいただきありがとうございます。

参考までに、私が証明書を検証しようとしているシステムは、エストニアの ID カード証明書センターの ocsp レスポンダーです。

Nginx を使用して安全な接続を作成しています。クライアント証明書を失効させたとき、https で Nginx に接続することもできます。ssl_crl ディレクティブを設定する必要があることはわかっていますが、OCSP を使用してクライアント証明書を検証したいのですが、どうすればよいですか? Nginx が OpenSSL ライブラリを使用して ssl 接続を確立していることがわかりました。openssl.cnf ファイルで何かすべきことはありますか?

このライブラリ ( https://github.com/indutny/ocsp ) は使用したくありません。これは、証明書について非標準の前提を置いているためです。

必要なハッシュがあると仮定すると、https.request function手動で OCSP リクエストを作成するために をどのように使用するのか疑問に思っていました。基本的に、渡す OCSP Request オブジェクトにはどのフィールドが必要https.requestですか?

インターネットは、体がどのように見えるべきかについて曖昧なようです.

HTTPS 接続のサーバー証明書を (有効なサーバーで) 確認したいと思います。

私の問題は、それがどのように機能するかを理解していますが、Android の参照実装が見つからないことです。私はすでにそのTLS拡張をハンドシェイクに追加することを考えていましたが、その方向にも何も見つかりませんでした.

そのトピックについて経験のある人がいる場合は、正しい方向へのベストプラクティスを示すいくつかの指針について非常に嬉しく思います.